Software AG, éditeur Allemand de logiciels de gestion de données, a fait son apparition en 1969, année durant laquelle l’industrie du logiciel est née.
Software AG, considérée comme l’une des plus grandes sociétés de logiciels au monde, a récemment été la cible d’une attaque de rançongiciel (aussi appelé ransomware).
Le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant (malware) qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.
Le samedi 3 octobre dernier, un groupe au nom de « Clop », a pénétré dans le réseau interne de l’entreprise. Clop est renommé pour être un logiciel de rançon qui utilise l’extension « .clop » après avoir crypté les fichiers de la victime. De plus, Clop est doté d’une caractéristique unique qui se trouve dans la chaine « Dont Worry C|0P » inclus dans les notes de rançon. Cette chaine va notamment tenter de désactiver Windows Defender afin de supprimer les éléments essentiels de sécurité de Microsoft. On parle alors de « Ransomware Clop ».
Clop est un Ransomware qui s’est fait connaître avec son attaque envers le CHU de Rouen en novembre 2019. Il est également très sollicité par les cybercriminels Russes TA505 visant principalement les secteurs de la finance, de la distribution, de l’aviation, de la santé ainsi que les institutions gouvernementales.
Les cybercriminels ayant visé Software AG avec le Ransomware Clop, afin de prouver leurs motivations, ont commencé à diffuser sur le dark web des captures d’écran de données sensibles de l’entreprise ainsi que de leurs collaborateurs. Parmi ces données figuraient notamment des passeports, des cartes d’identités d’employés de Software AG, des e-mails, des documents financiers ainsi que des répertoires du réseau interne de la société.
Les hackers ont, dans le même temps, réclamé une rançon considérée comme étant l’une des plus importantes jamais demandées au monde. Cette dernière s’élève à 23 millions de dollars en échange des clés de déchiffrement mais aussi de la non-divulgation des documents dérobés lors de l’attaque.
Le lundi 5 octobre 2020, la société publie alors un communiqué de presse dans lequel elle fait état de cet incident. Elle assure dans un premier temps que cette attaque de malware n’a affecté que son réseau interne et que « bien que les services à ses clients, y compris ses services basés sur le cloud, ne soient pas touchés, Software AG a arrêté les systèmes internes de manière contrôlée conformément aux règles de sécurité internes de l’entreprise ».
Toutefois, deux jours plus tard, le jeudi 8 octobre 2020, l’entreprise revient sur sa déclaration dans un second communiqué dans lequel elle annonce que « Software AG a obtenu les premières preuves que les données ont été téléchargées à partir de serveurs et des ordinateurs portables des employés de Software AG ».
A ce jour, Software AG poursuit son enquête et « fait tout ce qui est en son pouvoir pour contenir la fuite de données et pour résoudre la perturbation continue de ses systèmes internes, en particulier pour redémarrer au plus vite ses systèmes internes ».
Sources :
https://www.ssi.gouv.fr/entreprise/principales-menaces/cybercriminalite/rancongiciel/
https://malpedia.caad.fkie.fraunhofer.de/details/win.clop
http://otp.investis.com/generic/dgap-story.aspx?cid=2167&newsid=13974&culture=en-US